Представлен стабильный релиз прокси-сервера Squid 7.1, готовый для использования в рабочих системах (выпуски 7.0.x имели статус бета-версий). После придания ветке 7.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 8.0. Пользователям прошлой стабильной ветки 6.x рекомендуется спланировать переход на ветку 7.x...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63676
Ну такое.. В 90е и ранние 2000е оно понятно зачем было нужно, но еле развивалось. C 2.4 до 2.6 вечность прошла без особых фич. Адблокеры и прочее внешними плагинами, очень неудобно. А сейчас версии клепают, но кто его еще использует?После появления http/2 и массового перехода на SSL, какие юзкейзы остались?
Для контроля доступа корпоративных пользователей сейчас есть куда более функциональные и удобные решения, а "ускорение" интернета в 2025 сквид дать явно не может - когда страницы это "приложения", завязанные на постоянные запросы к серверу для реализации внутренней логики, для ускорения нужен HTTP/3 (которого тут нет), а не дополнительные промежуточные прослойки.
А какие решения для контроля доступа есть?
ngfw
Ссылку можно? А то в гугля либо какие-то платные штуки, либо абстрактный класс ПО.
Чистого opensource нет. Как правило, ваяют что-то свое, заумное, платное, на базе Linux. В общем то ещё болото.
OPNsense. веб-интерфейс похож на ngfw но по сути ...
> и массового перехода на SSL, какие юзкейзы остались?так ломайте ssl то
А нельзя взять и сделать unwrap SSL-а в обычный HTTP или элементарно подменять секртификат между пользователем и кешем. В чем проблема?
Ну почему - на джвух последних местах работы с его помощью до сих пор по AD траффик шейпят. Удобно.
Плюс безопасники/кадровики статистику снимают, кто и где сидит. Не знаю, по поводу безопасников, но тупоголовых Леночек с векашечками и ютюпчиками уже пару лет как штрафуют и увольняют.
Врёшь ты.Леночки сидят на мобиле давно.
> Леночки сидят на мобиле давно....с вайфая, да. Им свой симочный трафик жалко
> ...с вайфая, да. Им свой симочный трафик жалкоЕсли безопасники начнут выпендриваться - то таки и с мобильного интернета сидят на раз.
По-моему уже у любого провайдера даже в самом бомж тарифе есть безлимит хотя бы на соцсети с мессенджером МАХ. Леночки даже и не знали до недавнего времени что такое Wi-Fi, та же статистика увеличившихся заявок на проводное подключение это доказывает.
> сидят на мобиле давно.а вот и всё, нет больше такого
Сидим всей конторой на Ютубе, никаких проблем с офисным каналом трафиком не наблюдается.Может вам лечить шизу а не людей увольнять?
У кого что болит, лол.
Перечитай мой ответ.
> безопасники/кадровики статистику снимают, кто и где сидит
> Леночек с векашечками и ютюпчиками уже пару лет как штрафуют и увольняют.Зачем в таких местах люди работают, если навалом мест без этого вот вахтёрства?
+15-25% к белой ЗП от средней по рынку
+ полноценные 28 дней отпуска
+ выслуга лет (бонусная копеечка как произведение стажа на средневзвешенные достижения)
+ нормальное ДМС с полным покрытием зубов в отдельной от обычных больных МСЧ
+ у народа дети едут в собственный ДОЛ за 10к (пока по рынку от 80к в самое гуано)Все-таки условия лучше оба раза были, чем в стильно-модных конторах со скрамами и аджайлами в новеньком БЦ.
> "+15... к белой ЗП от средней по рынку"Норм, за эти деньги же можно свой бесправный VPN поднять же.
ютуб же порезан, как там сидеть можно?
Просто нормальным провайдером надо пользоваться, которые не выпендриваются!
В Москве и Санкт-Петербурге понятно что таких не будит, в таких случаях хотя бы обход DPI на роутер установи.
> Просто нормальным провайдером надо пользоваться, которые не выпендриваются!
> В Москве и Санкт-Петербурге понятно что таких не будит, в таких случаях
> хотя бы обход DPI на роутер установи.Товарищмайёр!
Ну он же будет из самого доверенного источника !
ты забываешь что это вполне годный прокси с поддержкой TLS и аутенфикацией клиентовникогда его не юзал для кеша, а как проксю регулярно
> для ускорения нужен HTTP/3смешно
> После появления http/2 и массового перехода на SSL, какие юзкейзы остались?MitM всего трафика и
1. Блокировка по полным URL
2. Правка http на лету, вырезка вирей, ...
3. Изменение на лету всех http заглавий нам правильные и нужные
4. Проверка на вирусы
5. Контроль доступа в интернет, статистика использования по пользователям, ....
Ну как какие юзкейсы. MITM с подменным корпоративным сертификатом.
в подвале из трех человек, угу.У остальных обычно таки что-то специально для этой цели предназначенное, а не васян-поделка-зато-забесплатная.
Угу, суриката называется. Выбор есть только между squid и сурикатой.
Угу, в той сурикате ссл бампинг прикрутить ещё надо постараться.
Ну, как тебе сказать? Вот, в лидере отечественной нефтехимии а.к.а. Сибуре аж целый интегратор вот на ем аж целое РЕШЕНИЕ делал. Уровня холдинга, ага - с каскадной синхронизацией политик вниз, керберос-аутентификацией и фильтрацией контента. Но без mitm'а - слово безопамникам почему-то не понравилось...
А без MitM оно вообще зачем? Как фильтровать https (SSL) трафик будет?
> А без MitM оно вообще зачем? Как фильтровать https (SSL) трафик будет?"Во-первых, это красиво..."(С)
Как-как - да никак. Прикрутили к кальмару вот ufdbguard без купленной подписки, логи проксюка в эластик для поибэ скинули - да и отчитались за реализацию проекта, делов-то?
Проект был? Был. Реализован? Реализован. Что-то там фильтрует? Ну да. Вот даже протокол прохождения ПСИ в секретном шкафу лежит. А то, что ничего полезного оно при этом вот не делает - так про то ж речи и не было никогда... Такова парадигма.
> А без MitM оно вообще зачем? Как фильтровать https (SSL) трафик будет?банальный белый список, например? Ну зачем сотруднику сибура - ютруп в рабочее время?
(к чему именно там строится туннель - сквид, разумеется, знает)
> с каскадной синхронизацией политик вниз, керберос-аутентификацией и фильтрацией контентаУот! А не это ваше вот полуподвальное!
> Но без mitm'а
ну, чисто теоретически, для корп-решения без претензий на сертификации - сойдет. (а если ограничиться небольшим белым списком - то и для рабочих задач сгодится)
и да, при этом твои данные хотя бы не уплывут налево
P.S. А могли бы - могли бы - поддержать отечественного производителя: https://habr.com/ru/companies/solarsecurity/news/925232/ (откуда там 5 в карме - при нулевом рейтинге и нуле комментариев - загадка хабра, ога)
Не исключено что там тоже сквид внутре, но учоные скрывают.
> P.S. А могли бы - могли бы - поддержать отечественного производителя: https://habr.com/ru/companies/solarsecurity/news/925232/
> (откуда там 5 в карме - при нулевом рейтинге и нуле
> комментариев - загадка хабра, ога)
> Не исключено что там тоже сквид внутре, но учоные скрывают.Если не путаю - в процессе замены на ngfw от user gate, аж в "аппаратном исполнении", у которого "ни сантиметра opensource'ного наружу не торчит!" (но это не точно)
А вот firewall фильтрует только по ip-адресам и маске. а фильтрацию dstdomain можно сделать только в squid. Настроить обновление своего парка домашних серверов только с разрешенных серверов и спать спокойно.
>фильтрацию dstdomain можно сделать только в squidне фанат l3 микротика, но там это давно
Л3 про домены ничего не знает, поэтому ресолвит их и фильтрует по ip. Некоторые нгфв смотрят в днс трафик и берут ip оттуда, но фильтруют в итоге все равно по ip.
Вы не поверите, но у нас у одного из клиентов был древнючий SAMS (надстройка над squid), который считал трафик и вёл лимиты. Кое-как уговорили их заменить на голый свежий squid без лимитов, но хотя бы с подсчетом потреблённого трафика в базу.Их отдел ИТ выставляет счета другим отделам за потреблённый трафик, помегабайтно! При наличии двух безлимитных каналов конечно. Так исторически сложилось, и никто не готов ломать устоявшуюся схему.
Кстати, когда делали анализ рынка, в большинстве "импортозамещенных" решений для контроля выхода в интернет унутре обычный squid.
Когда сайт с 2мя картинки загружается 10 секунд на 1 гигабите, тут не http/3 надо, а выкинуть всех веб-мак.к на помойку вместе со всеми их " технологиями".
> Удалён... удалён... прекращена... удалён... убран доступ...Хм
зачистка старья?
теперь точно точно стабилен
Как у него с websocket сейчас? В предыдущих версиях с ssl-bump ничего не работало.
Сейчас работает.
А Authority Key Identifier он в поддельные сертификаты умеет вставлять? Много софта в последнее время на эго отсутствие ругается, приходится бампинг выключать.
Socks5 когда завезут?
sockd не хватает?
Предыдущая новость про squid была12.10.2023 В прокси-сервере Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены
opennet.ru/opennews/art.shtml?num=59915Оно все такое же дырявое как раньше?
Или они решили латать дыры удалением функциональности?)
Шёл 2025 год. Анонимные аналитики продолжали публиковать новости двухлетней давности.
Основные новшества Squid 7:
Удалена ...
Убран ...
Удалена ...
Удален ...
Удалена ...
Прекращена ...
Удаленs ...
Главное, чтоб ничего нового (всё ломающего не завезли).
Как вспомнишь непомук с аконадемб так сразу спасибо хочется сказать. Что задвинул тогда этот гном.
непомук с аконадями вроде в кедах же
в посте изменения только для версий 7.1, если смотреть всю ветку 7 изменений много.Changes in squid-7.0.2 (19 Jun 2025):
- Bug 5352: Do not get stuck in RESPMOD after pausing peer read(2)
- Bug 5316: Release note says version 6 still for testing
- Bug 5489: Fix "make check" linking on Solaris
- Do not duplicate received Surrogate-Capability in sent requests
- Fix GCC v13 LTO build [-Walloc-size-larger-than=]
- Fix OpenSSL build with GCC v15.1.1 [-Wformat-truncation=]
- Fix tls-dh support for DHE parameters with OpenSSL v3+
- Fix SNMP cacheNumObjCount -- number of cached objects
- Fix Mem::Segment::open() stub to fix build without shm_open()
- Disable EUI when arpreq is missing and cannot be defined
- MinGW: use nameless unions in ext_ad_group_acl
- MinGW: do not build ext_edirectory_userip_acl
- MinGW: add mkdir adapter
- MinGW: fix store/Controller.cc build
- MinGW: fix aio compatibility layer
- MinGW: add libnettle to negotiate_sspi_auth
- negotiate_sspi_auth: Fix command debugging (-v)
- ntlm_sspi_auth: Fix missing base64 symbol linkage
- ... and many portability and compatibility fixes
- ... and some code cleanup
Changes in squid-7.0.1 (2 Feb 2025):- Remove Edge Side Include (ESI) protocol
- Remove Ident protocol support
- Remove cache_object protocol support
- Remove cachemgr.cgi tool
- Remove tool 'purge' for management of UFS/AUFS/DiskD caches
- Remove squidclient
- Remove disabled classful networks code
- Remove dead Multicast Miss Stream feature
- Remove broken and disabled icpPktDump()
- Remove deprecated string memory pools API
- Remove dead "binary HTTP header logging" code (-DHEADERS_LOG)
- Rename --with-gnugss to --with-gss
- Remove krb5_get_max_time_skew portability hack
- Remove PRIuSIZE macro
- Remove ADD_X_REQUEST_URI
- Bug 5390: Non-POD SquidConfig::ssl_client::sslContext exit crash
- Bug 5363: Handle IP-based X.509 SANs better
- Bug 5383: handleNegotiationResult() level-2 debugs() crash
- Bug 5449: Ignore SP and HTAB chars after chunk-size
- Bug 5428: Warn if pkg-config is not found
- Bug 5293: Security::CreateClientSession uses wrong TLS options
- Bug 5417: An empty annotation value does not match
- Bug 5322: Do not leak HttpReply when checking http_reply_access
- Bug 5329: cbdata.cc:276 "c->locks > 0" assertion on reconfigure
- Bug 5119: Null pointer dereference in makeMemNodeDataOffset()
- Bug 5254, part 1: Do not leak master process' cache.log to kids
- Bug 5312: Startup aborts if OPEN_MAX exceeds RLIMIT_NOFILE
- Bug 4156: comm.cc "!commHasHalfClosedMonitor(fd)" assertion
- ext_time_quota_acl: restore debug level feature and argument
- ext_ad_group_acl: fix dependency detection
- ext_time_quota_acl: convert to c++
- scripts/find-alive.pl: Auto-detect auto-added ctors/dtors names
- negotiate_wrapper_auth: protect from responses over 64KB
- negotiate_kerberos_auth: Support Kerberos PAC-ResourceGroups
- pinger: improve timer accuracy and resolution
- testheaders.sh: force-remove temporary files
- squid-conf-tests: Ignore tests with mismatching autoconf macro
- MinGW: Emulate fsync
- MinGW: fix winsock dependency issues
- MinGW-w64: enable native file locking
- Windows: Drop obsolete WinSock v1 library
- Windows: Improve PSAPI.dll detection
- basic_sspi_auth: MinGW build fixes
- HTTP: Protect just-parsed responses from accidental destruction
- WCCP: fix inverted range check
- Y2038: Fix cache_peer connect-timeout reporting
- Y2038: Use time_t for commSetConnTimeout() timeout parameter
- Work around some mgr:forward accounting/reporting bugs
- Fix: Ftp::Gateway may segfault in level-3 double-complete debugs()
- Do not mark successful FTP PUT entries with ENTRY_BAD_LENGTH
- Fix ENTRY_ABORTED assertion in sendClientOldEntry()
- Limit Server::inBuf growth
- Reject config with unknown directives before committing to it
- Fix and redefine meaning of total peering time (%<tt)
- Fix use-after-free in peerDigestFetchReply()
- Fix use-after-free in statefulhelper::submit() level-9 debug
- Fix PeerDigest lifetime management
- Fix Tokenizer::int64() parsing of "0" when guessing base
- Fix SMP mgr:userhash, mgr:sourcehash, and mgr:carp reports
- Fix reporting of unrecognized directives
- Do not blame cache_peer for CONNECT errors
- Fix heap buffer overead in ConfigParser::UnQuote()
- Do not die when parsing obsolete log_access and log_icap
- Extend in-use ACLs lifetime across reconfiguration
- Fix MemObject.cc:123: "!updatedReply_" assertion
- Avoid UB when packing a domain name
- Fix qos_flows confguration reporting
- Fix and improve annotation reporting
- Fix configuration crashes on malformed sslproxy_* directives
- Avoid UB when copying AnyP::Uri
- Fix and improve html_quote()
- Fix acl annotate_transaction reporting in mgr:config
- Fix ipv4 and expand ipv6 ACL parameter matching
- Fix Controller.cc TheRoot assertion during shutdown
- Fix Comm::TcpAcceptor::status() reporting of listening address
- Fix performance regressions with fastCheck() result copying
- Fix handling of zero cache_peers
- Fix cbdata assertion in carpInit()
- Fix: REQMOD stuck when adapted request (body) is not forwarded
- Fix rock/RockSwapDir.cc "slot->sameKey()" assertion
- Fix dupe handling in Splay ACLs: src, dst, http_status, etc.
- Protect ACLFilledChecklist heap allocations from leaking
- Stop leaking PeerDigests on reconfiguration
- Handle helper program startup failure as its death
- Kill helpers that speak without being spoken to
- annotate_client and annotate_transaction ACLs must always match
- Restrict squid.conf preprocessor space characters to SP and HT
- Drop helpless helper requests
- Improve Tunnel Server RESPONSE dumps
- Do not lookup IP addresses of X509 certificate subject CNs
- Report cache_peer context in probe and standby pool messages
- Treat responses to collapsed requests as fresh
- Do not TLS close_notify when resetting a TCP connection
- Simplified quick_abort_pct code and improved its docs
- Update HTTP status codes
- Report all refreshCheck() outcomes and entry gist
- Prohibit bad --enable-linux-netfilter combinations
- Use ERR_ACCESS_DENIED for HTTP 403 (Forbidden) errors
- Scaffolding for YAML-formatted cache manager reports
- Improve ErrorState debugging
- Stop zeroing huge memAllocBuf() buffers
- Enable EDNS for DNS A queries and reverse IPv4 lookups
- Format mgr:pconn as YAML
- Use ERR_READ_ERROR for read-from-client I/O errors
- Use AnyP::Uri::Decode() for urllogin and url_regex checks
- Throw, not self_destruct(), on qos_flow configuration errors
- Add %byte{value} logformat code for logging or sending any byte
- Do not report bogus/empty SMP cache_dir indexing stats
- Report/abort on any catastrophic rock cache_dir indexing failure
- Recognize internal requests created by adaptation/redirection
- Log %err_code for ERR_RELAY_REMOTE transactions
- Restore errno in %err_detail for ERR_CONNECT_FAIL
- Report all AsyncJob objects (mgr:jobs)
- Cover OnTerminate() calls unrelated to exception handling
- Keep ::helper objects alive while in use by helper_servers
- Add SQUID_CHECK_LIB_WORKS autoconf macro
- Reject more CONNECT requests with malformed targets
- Forget non-peer access details
- Do not report DNS answers without A/AAAA records by default
- Destroy an idle PeerDigest after its CachePeer disappears
- Do not apply custom debugs() format to Debug::Extra lines
- Do not check store_status when checking ENTRY_BAD_LENGTH
- Add buffered_logs OFF support to UDP logger
- ... and many documentation improvements
- ... and many portability and compatibility fixes
- ... and many code cleanups
- ... and improvements to unit tests
- ... and some error page translation improvements
- ... and all fixes from 6.13
Хорошо же наоборот. Челы понимают, чем опасен scope creep. Иначе получится второе кэдэйэ.
Можете более понятными терминами объяснить? Я не понял.
Думал, что Squid 🐙 уже на свалке, а HAProxy с Nginx полностью закрывают все потребности юзеров.
Но нет. Для всякого инструмента есть своя область применения, в том числе для сквида. Попробуй для развлечения Касперского к Хапроксе или Nginx подключить для антивирусного мониторинга трафика.
госпади боже. как на ит ресурсе можно не различать прокси и реверс прокси
Э. Ну так-то прокси для http можно из обоих сделать, не? Троллейбус-из-буханки...
Сквид, кстати, тоже умеет в реверс-прокси
Этот сквирт до сих пор не поддерживает из коробки socks5?
3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!
> 3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!А кешировать http он, таки, научился?
>> 3proxy лучше абсолютно во всём, как 20 лет назад, так и сейчас!
> А кешировать http он, таки, научился?Кешировать он ещё 20 лет назад умел, когда это мне ещё было нужно.
Правда я ещё тогда уже только socks5 использовал.
У 3proxy разве есть проблемы с кешированием http?
> Кешировать он ещё 20 лет назад умел, когда это мне ещё было нужно.А где это в нем? Основная проблема этого 3proxy - просто полный крындец с документацией! Когда я на него смотрел, нормальная дока была только на русском, да еще ажно в CP1251, чтобы точно "снизу постучали". Вот это я понимаю - отстойная документация как она есть.
На вид оно может - почти все. Но с такой документацией вы очешуеете гораздо раньше чем настроите это. Так что если я не заметил фичу - спасибы документации этой штуки.
> Правда я ещё тогда уже только socks5 использовал.
> У 3proxy разве есть проблемы с кешированием http?Ну например я так сходу не заметил где у него кеш HTTP. Для себя я polipo юзаю - в основном как кеш для бутстрапа VM и образов, пакеты DEB по HTTP отдаются и их можно кешировать на отлично - что ускоряет генерацию VM/образов в многие разы.
Извиняюсь, nscache, это кеширование DNS, а не трафика.
Трафик он, действительно кешировать не умеет, не знал.
Значит не во всём лучше.
Хотя в наше время сомнительная функциональность.
> Извиняюсь, nscache, это кеширование DNS, а не трафика.Это как бы здорово другое. Ибо одно дело - качнуть пакет N мегов 1 раз и другое - M раз.
> Трафик он, действительно кешировать не умеет, не знал.
> Значит не во всём лучше.Ну вот как-то так, он скорее универсал на все оказии. Забавен фичами "коммутации", чайнинга прокси и проч. Но замена squid? ORLY?
> Хотя в наше время сомнительная функциональность.
А в чем проблема кешировать пакеты дистро для допустим ребилда образов, VM и групповых апдейтов всех N машин оптом и быстро? Apt по http по дефолту качает - ибо подписи же, хрен подделаешь пакет, даже если и MITM. А вот кеширование как раз работает на отлично.
Слушай, 3proxy был написан 3APA3A где-то в конце 90ых-начале 00ых, отсюда и Windows-1251 в документации
Сейчас в шоке обнаружив, что он поддерживает и обновляет 3proxy. А доки видимо так и не трогал
Если честно, то я думал, что и продукт давно заморожен, и сам 3APA3A уже покинул этот мир, не видел его года с 2000го примерно
> Слушай, 3proxy был написан 3APA3A где-то в конце 90ых-начале 00ых, отсюда иСубъективно у этого проекта...
1) Дофига фич. Иногда прикольных. Но...
2) С документацией (даже на русском) - ужасный отстой.
3) Поэтому пока оно заработает, тем более как надо, упаси боже если в продвинутой конфиге, можно спятить ненароком.
4) И код читать - я пробовал. Он у него - довольно ужасен, имхо.> Windows-1251 в документации
Автор, вероятно, был убежденный маздаец. И весь секрет.
> Сейчас в шоке обнаружив, что он поддерживает и обновляет 3proxy. А доки
> видимо так и не трогалЭкспертиза опеннета блин. Везде облапошить пытаются. Я апдейтнул гит этой штуки и обнаружил что автор подозревать что-то стал. Например в 5a89997d6eb2e7e1561f8019e8b7978695105051
> Если честно, то я думал, что и продукт давно заморожен, и сам
> 3APA3A уже покинул этот мир, не видел его года с 2000го примерноНу хз, комиты вроде довольно свежие. Так что слухи о смерти автора или проекта были сильно преувеличены.
> Удалена поддержка языка разметки ESI (Edge Side Includes).
> Убран доступ к Cache Manager с использованием схемы cache_object://
> Удалена утилита squdclient, вместо которой следует использовать "curl
> Удалён обработчик cachemgr.cgi.
> Удалена утилита purge, вместо которой следует использовать HTTP-метод PURGE.
> Прекращена поддержка протокола Ident.
> Удалены обработчики basic_smb_lm_auth и ntlm_smb_lm_auth,Интересный список улучшений и инноваций для новой мажорной версии :)
Почему нет. В своё время чистка авгиевых конюшен инновационным способом тоже была улучшением.
Это же вайп кодинг - скидываем ИИ запутанный легаси код, и получаем современный код!
Свайп-кодинг